Спецпроекты

У главного производителя «виагры» Pfizer утекли в Сеть данные пациентов

Безопасность Стратегия безопасности Техника

Корпорация Pfizer хранила в неправильно настроенном облаке Google транскрипты диалогов и личные данные потребителей лекарственных препаратов с автоматизированной системой поддержки пользователей.

Забыли запереть облако

Фармацевтическая корпорация Pfizer допустила утечку клиентских данных, и это может привести к судебному процессу. Pfizer известна широкой общественности как производитель «Виагры», однако компания производит самый широкий спектр медикаментов разного назначения, включая препараты, используемые для борьбы с раковыми заболеваниями.

Как оказалось, личные данные людей, которым выписаны рецепты на препараты Pfizer, хранились на незащищённом облаке Google Cloud. В частности, в открытом доступе оказались сотни диалогов между клиентами корпорации и автоматизированными системами пользовательской поддержки. Среди клиентов - люди с онкологическими заболеваниями, которые принимают противораковые препараты Ibrance и Aromasin, сообщает SiliconAngle.

Помимо конфиденциальной медицинской информации (которая вообще не подлежит разглашению), расшифровки диалогов включают полные имена, домашние и почтовые адреса и другие данные, которые позволят киберзлоумышленникам легко производить фишинговые атаки и подделывать чужие личности - к ущербу для последних.

Личные данные могут использоваться для выманивания дополнительной информации, в том числе, финансовой. В итоге это может привести к прямой краже денежных средств и другим формам мошенничества.

Дело пахнет судом

Незащищённое облако обнаружила компания vpnMentor в июле 2020 г. В опубликованном ею исследовании указывается, что допустив фактическое раскрытие конфиденциальной медицинской информации, Pfizer нарушил как минимум закон штата Калифорния о мерах по защите персональных данных, а также ряд правил и рекомендаций по обеспечению безопасности личной информации. В конечном счёте это может привести к судебным разбирательствам.

pfizer600.jpg
Pfizer хранила в неправильно настроенном облаке Google транскрипты диалогов и личные данные потребителей лекарств

«Сейчас по всему миру наблюдается тенденция к ужесточению законодательства о защите персональных данных, - это справедливо и для США, и для Европы, - отмечает Алексей Водясов, технический директор компании SEC Consult Services. - Фармацевтическая компания, оставившая в открытом доступе клиентские данные, - это действительно повод и для скандала, и для расследования, особенно ввиду того, что закон теперь прямо требует более щепетильного подхода к защите информации. С другой стороны, неправильная настройка облачных ресурсов с «богатым содержимым» - это уже настолько частое явление, что никто особо и не удивляется новым инцидентам подобного рода. И не факт, что последуют какие-то санкции против Pfizer. Даже и заслуженные».

Впрочем, это уже далеко не первый случай, когда Pfizer допускает утечки данных: в 2007 г. их было сразу три. В 2019 г. произошёл комичный случай, когда кто-то из сотрудников компании случайно оставил жёсткий диск с резервными данных в коробке, которую выкинули в мусорный контейнер. Вероятнее всего, это осталось без каких-либо последствий, потому что содержание этого контейнера в течение следующих 24 часов было отправлено в мусоросжигатель.

Публичной реакции со стороны Pfizer пока не последовало, хотя в исследовании vpnMentor упоминается, что корпорация приняла меры к решению проблемы в конце сентября.